Skip to main content

Proxmox VE

Objectif : Configurer Proxmox Virtual Environment (VE) pour qu’il utilise Authentik comme fournisseur d’authentification via OpenID Connect (OIDC), afin de permettre un Single Sign-On (SSO) centralisé pour les utilisateurs.

Pré-requis

Avant de commencer :

  • Proxmox VE 7.0 ou supérieur doit être en fonctionnement.

  • Un nom de domaine (FQDN) pour votre Proxmox (proxmox.company) et pour votre instance Authentik (authentik.company).

  • Accès administrateur à Authentik et à l’interface Proxmox.

  • Certificat HTTPS valide accessible par les deux serveurs.

1) Configuration dans Authentik

Créer un provider et une application OAuth2/OIDC

  1. Connectez-vous à Authentik en tant qu’administrateur.

  2. Allez dans Applications → Applications.

  3. Cliquez sur Create with Provider pour créer à la fois un provider et une application.

  4. Remplissez les paramètres suivants :

    • Nom de l’application : un nom explicite (ex. Proxmox VE).

    • Provider type : OAuth2/OpenID Connect.

    • Redirect URI strict : https://proxmox.company:8006 (sans slash final).

    • Signing Key : sélectionnez une clé de signature.

    • Encryption : désactivé.

    • Dans Advanced protocol settingsSubject mode : choisissez Based on the User’s Email ou username selon vos besoins.

  5. Notez Client ID, Client Secret et l’Issuer URL qui seront utilisés dans Proxmox.

  6. Enregistrez l’application.

2) Configuration dans Proxmox VE

Vous pouvez configurer l’authentification OpenID Connect soit via l’interface web, soit via la ligne de commande.

A) Via l’interface Web

  1. Connectez-vous à l’interface Proxmox VE avec un compte administrateur.

  2. Allez dans Datacenter → Permissions → Realms.

  3. Cliquez sur Add et choisissez Realm pour ajouter une nouvelle source d’authentification.

  4. Remplissez les paramètres :

    Champ À renseigner
    Issuer URL URL du provider Authentik (https://authentik.company/application/o/proxmox/)
    Realm Nom du realm (ex. authentik)
    Client ID Le Client ID copié depuis Authentik
    Client Key Le Client Secret copié depuis Authentik
    Username claim username
    Autocreate users Activé si vous souhaitez créer automatiquement les utilisateurs à la première connexion
    Default Activé si vous voulez que ce provider soit présélectionné sur l’écran de login

     

  5. Cliquez Add pour enregistrer la source d’authentification.

  6. Allez ensuite dans Permissions → Users/Groups pour assigner les rôles nécessaires aux utilisateurs Authentik dans Proxmox.

B) Via la ligne de commande (CLI)

Vous pouvez aussi ajouter le realm directement depuis un terminal SSH sur un nœud de votre cluster :


pveum realm add authentik \ --type openid \ --issuer-url https://authentik.company/application/o/proxmox/ \ --client-id <CLIENT_ID> \ --client-key <CLIENT_SECRET> \ --username-claim username \ --autocreate 1

Remplacez <CLIENT_ID> et <CLIENT_SECRET> par les valeurs reçues d’Authentik.

3) Test de connexion

  1. Ouvrez Proxmox dans un nouveau navigateur ou en navigation privée.

  2. Sur la page de connexion Proxmox VE, sélectionnez le realm OpenID Connect que vous avez ajouté.

  3. Vous devriez être redirigé vers Authentik pour vous authentifier, puis revenir automatiquement dans Proxmox.

4) Résolution des problèmes fréquents

Erreur 500 / OpenID redirect failed
– Assurez-vous que l’Issuer URL et le Redirect URI correspondent exactement à ce qui est configuré dans Authentik.
– Vérifiez que votre provider OAuth2/OIDC dans Authentik a une Signing Key définie.

Création d’utilisateurs
– Si l’option Autocreate users est activée, Proxmox créera automatiquement des utilisateurs lors de la première connexion.

Back to top